Chmura pełna danych
fot. Adobe Stockz miesięcznika „My Company Polska”, wydanie 4/2020 (55)
Zyskaj dostęp do bazy artykułów z „My Company Polska” Zamów teraz!
Chcemy mieć wszystko pod kontrolą. Problem w tym, że to nierealne, szczególnie jeśli chodzi o firmowe dane, których ilość w dzisiejszych czasach rośnie lawinowo. Każdy rozsądny właściciel firmy lub menedżer przyzna, że ważne, by takie dane były bezpieczne. Z drugiej strony, wiele osób ważne informacje przechowuje po prostu na pojedynczych, lokalnych dyskach twardych. Nie dość, że nie zabezpieczonych przed odczytem przez niepowołane osoby, to jeszcze narażonych na awarię. Zdarza się przecież, że twardy dysk padnie. Wtedy odzyskanie danych, szczególnie dla małej firmy, może być dużym problemem, bo w wielu przypadkach to proces długotrwały i kosztowny. Warto więc przechowywać dane w bezpiecznym miejscu, jak choćby chmura (oczywiście u sprawdzonego dostawcy) lub tworzyć kopię zapasową, która w bezpiecznych warunkach przechowa najważniejsze zasoby. Absolutne minimum to lokalna macierz dyskowa lub serwer typu NAS (dysk sieciowy).
RODO i ciasteczka
Choć jeszcze niedawno można było mieć nieco sceptyczne podejście do przechowywania danych poza siedzibą firmy, to dziś, w większości przypadków, nie jest to już problem. Prawo powoli dostosowuje się do realiów rynkowych i reguluje kwestie dostępu do danych i sposobu ich przechowywania. Momentem zwrotnym w tej kwestii było wprowadzenie unijnego Rozporządzenia o Ochronie Danych Osobowych, czyli słynnego RODO. Jeśli firma przechowuje dane osobowe, a obecnie dotyczy to praktycznie każdego rodzaju działalności, to musi zagwarantować im odpowiedni poziom bezpieczeństwa. Już od 25 maja 2018 r. chronione są nie tylko PESEL i adres, ale też wszelkie informacje, które pozwalają identyfikację osób fizycznych, w tym też np. numery IP albo „ciasteczka” zapisywane na lokalnym dysku przez przeglądarkę. Umieszczenie ich w chmurze zagwarantuje odpowiedni poziom bezpieczeństwa przechowywanych informacji, choć oczywiście trzeba wybrać usługę, która spełnia prawne wymogi. Warto też dodać, że w przypadku przechowywania w chmurze danych objętych RODO, za ich ochronę odpowiada nie tylko ich administrator, ale także dostawca usług.
Która chmura
Na co zwrócić uwagę, wybierając firmę, która przechowa nasze dane? Na pewno trzeba koniecznie sprawdzić, czy dostawca rzeczywiście umie wdrożyć postanowienia RODO. Ważne też, by spełniał standardy bezpieczeństwa. Zwróćmy zatem uwagę na normy takie, jak ISO 27001, ISO 27017 oraz ISO 27018. Pierwsza z nich dotyczy bezpieczeństwa danych, dwie kolejne odnoszą się zaś wprost do zachowania poufności danych przechowywanych w chmurze (m.in. usługodawca zobowiązany jest do niewykorzystywania danych w celach marketingowych, do wymuszenia na pracownikach zachowania absolutnej poufności oraz do zgłaszania wezwań do udostępnienia danych, kierowanych przez administrację rządową).
Z punktu widzenia prawa jest też ważne, gdzie fizycznie znajdują się serwery przechowujące dane. Przede wszystkim, czy faktycznie znajdują się w Europejskim Obszarze Gospodarczym i czy podlegają prawu europejskiemu. Wiadomo przecież, że potentaci branży informatycznej mają swoje potężne serwerownie praktycznie na całym świecie. Przykładowo, Microsoft ma serwery m.in. w Irlandii, Holandii, Brazylii i Singapurze, a Google: w USA, Belgii, Finlandii oraz – jak Microsoft – w Irlandii i Singapurze. Apple z kolei korzysta z infrastruktury m.in. w Chinach i USA. Jeśli zatem serwery chmurowe znajdują się poza EOG, lepiej zrezygnować z usług takiej firmy. W umowie z dostawcą powinien się znaleźć zapis dotyczący lokalizacji infrastruktury. Oczywiście najlepiej, by serwery znajdowały się w Polsce, ale w wielu przypadkach – szczególnie gdy mowa o międzynarodowych koncernach – nie jest to możliwe.
Analizując ofertę dostawcy, warto też zwrócić uwagę na to, czy np. możliwe jest szyfrowanie części lub całości przechowywanych danych – wrażliwe informacje powinny być zabezpieczono bardziej niż mniej istotne dane, nawet jeśli kosztuje to nieco więcej. Kolejne ważne rozwiązanie to precyzyjna kontrola dostępu do danych zorganizowana tak, by administratorzy mogli swobodnie przeglądać szczegółową historię wszystkich działań użytkowników. Wielu dostawców proponuje już taką możliwość.
W razie awarii
Dzięki wielopoziomowym zabezpieczeniom, nie ma więc już teraz mowy, by umieszczenie danych w chmurze faktycznie wiązało się z utratą kontroli nad częścią działalności firmy. Jeśli wybierzemy sprawdzonych usługodawców, można się nie obawiać o ich wiarygodność. Można też liczyć na profesjonalne zabezpieczenia i na to, że będziemy mieli stały dostęp do przechowywanych w chmurze informacji. Zabezpieczeń na tak wysokim poziomie, jak oferują czołowi dostawcy, na pewno samodzielnie nie zapewni żadna średnia ani tym bardziej mała firma. Dostawcy w swoich centrach danych mają awaryjne systemy zasilania, macierze dyskowe o ogromnej pojemności, systemy tworzenia kopii zapasowych i układy zapewniające chłodzenie skomplikowanej infrastruktury IT. Muszą też zapewnić kontrolę dostępu do pomieszczeń serwerowni i to bardzo restrykcyjną. Każdy dostawca usług chmurowych powinien też udostępnić różnego rodzaju połączenia sieciowe, w tym łącza internetowe różnych operatorów. Tak, by zawsze było możliwe połączenie się z serwerami, niezależnie od awarii jednego z łączy.
Po stronie klienta
Oczywiście odpowiedzialność za bezpieczeństwo danych nie spoczywa tylko na dostawcy. Klient musi odpowiedzialnie zarządzać lokalnymi komputerami, odpowiednio skonfigurować ich systemy operacyjne, dbać o aktualizację i wykorzystywać podstawowe narzędzia, jak np. kontrola antywirusowa czy firewalle.
Po stronie klienta jest też zapewnienie odpowiednio wydajnych i bezpiecznych połączeń z internetem. Gdy na co dzień korzysta się z danych z chmury, nie może to być łącze, które zapewnia szybką transmisję jedynie „do” firmy, a kanał zwrotny działa kilka razy wolniej – zwykle z takich połączeń korzystamy w domach. Trzeba mieć tzw. łącze synchroniczne, które pozwala przesyłać dane z równą, dużą prędkością w obie strony. Wtedy zyskamy swobodny i szybki dostęp do danych znajdujących się w chmurze. Oczywiście najlepiej, by w ramach fizycznego łącza, stworzyć swego rodzaju wirtualny tunel między dostawcą usług chmurowych a siedzibą firmy. Najlepiej wtedy skorzystać z VPN-u, czyli wirtualnej sieci prywatnej, która odizoluje przepływające między dwoma punktami dane od pozostałej części cyfrowego świata. To sprawi, gdy dane będą szyfrowane, że bardzo trudno będzie dostać się do nich osobom postronnym.
Oczywiście należy też przeprowadzić szkolenia dla pracowników, którzy korzystają z firmowych danych. To właśnie ludzie zwykle są najsłabszym ogniwem. Pamiętajmy o mocnych hasłach, które zapewniają dostęp do danych. Warto stosować 2-etapowe uwierzytelnianie (np. z dodatkowym kodem wysyłanym SMS-em) lub wykorzystanie biometrii (np. odcisk palca). Stale przypominajmy o zagrożeniach dobrze znanych w internecie, jak fałszywe wiadomości, czy złośliwe strony internetowe. Jak wynika ze statystyk, większość wycieków danych to skutek niewiedzy lub łatwowierności użytkowników. Ataki takie pochodzą z wewnątrz firmy i trudno im zapobiec inaczej niż poprzez szkolenia.
Globalna wygoda
Jeśli jednak korzystamy z usług sprawdzonego dostawcy i zapewnimy rozsądne zabezpieczenia po naszej stronie, można się nie obawiać o dane przechowywane w chmurze. Są one tam nawet bardziej bezpieczne niż na lokalnych komputerach pracujących w biurze. Poza tym, łatwiej dostępne – z praktycznie dowolnego miejsca na Ziemi. Wystarczy przecież połączenie z internetem. Chmura to oczywiście nie tylko dane, ale też oprogramowanie – wystarczy przeglądarka, by edytować pliki, przesyłać je znajomym i współpracownikom. Edytory tekstu, arkusze kalkulacyjne, programy do przygotowania prezentacji – to wszystko jest już dostępne w postaci aplikacji chmurowych. To duża wygoda, a teraz – dzięki technologiom i prawodawstwu – także wysoki poziom bezpieczeństwa.
---
Michał Paschalis-Jakubowicz
CEO Oktawave
Chmura stanowi przełom technologiczny, jeśli chodzi o przechowywanie i przetwarzanie danych, ale jej stosowanie wymaga pokonania pewnej bariery mentalnej. Kiedy dana firma posiada własną serwerownię i dział IT, bezpieczeństwo wydaje się zapewnione samo przez się – z powodu fizycznego kontrolowania zasobów.
Migracja do chmury na pierwszy rzut oka pozbawia tej kontroli. Cenne dane wydają się być przeniesione w bliżej niesprecyzowane miejsce, ulotne jak tytułowa chmura. Według raportu Cybersecurity Insiders za 2019 r., aż 93 proc. firm ma mniejsze lub większe obawy związane z utrzymywaniem ich danych w publicznej chmurze. Jednocześnie 72 proc. nie zanotowało żadnych incydentów związanych z bezpieczeństwem. Ale nawet tam, gdzie te problemy się pojawiły, większość z nich wynikła nie z winy dostawcy chmury, ale błędu ludzkiego ze strony klienta.
Wynika to z braku kompetencji chmurowych w zakresie rozwijania i utrzymywania złożonych środowisk, z którymi boryka się wiele organizacji. Z tego powodu zdecydowana większość firm w Polsce zainteresowanych rozwiązaniami w chmurze publicznej decyduje się na skorzystanie ze wsparcia zewnętrznych dostawców podczas migracji, wdrożenia oraz utrzymania systemów (63 proc.). Własnym specjalistom proces ten powierza tylko 37 proc. z nich. Tak wynika z czwartej części badania IDG i Oktawave „Chmura Publiczna w Polsce 2019 – wykorzystanie, bezpieczeństwo, plany rozwoju”.
Z kolei jeśli chodzi o odpowiedzialność za bezpieczeństwo danych, które są przechowywane w chmurze, jest ona podzielona między dostawcę a odbiorcę. Każdy z nich powinien pilnować swoich zabezpieczeń. Model ten nazywa się Shared Responsibility i w praktyce przybiera różne formy. Umowa między klientem a dostawcą musi precyzyjnie określić, kto za co jest odpowiedzialny.
Istnieje szereg regulacji prawnych obejmujących chmurowy model przetwarzania danych, których przestrzegać powinni wszyscy. Z kolei jakość usług i systemu danego dostawcy potwierdzają międzynarodowe certyfikaty, takie jak ISO/IEC 27001 czy CSA Star, a także wdrożony System Zarządzania Bezpieczeństwem Informacji („SZBI”) zgodny z normą ISO/IEC 27001:2013. I na to należy zwracać uwagę.
Więcej możesz przeczytać w 4/2020 (55) wydaniu miesięcznika „My Company Polska”.